인도 당국, 서버 내 컴포넌트 압류...현재 조사 중

[보안뉴스 호애진] 인도 당국이 악성코드인 듀큐(Duqu)가 발견된 웹호스팅 업체 서버 내 컴포넌트들을 압류해 조사 중에 있다. 

뭄바이 소재 웹호스팅 업체인 웹 워크스(Web Werks)의 서버가 듀큐에 감염된 컴퓨터와 통신한 사실이 보안 업체인 시만텍에 의해 알려진 후 인도 정보기술부가 이 같은 압류 조치를 취했다고 로이터 통신이 29일(현지시각) 보도했다.

이번 달 초 처음 알려진 듀큐는 스턱스넷과의 유사성 때문에 큰 관심을 받았다. 시만텍은 듀큐가 핵심 산업 인프라를 노리는 스턱스넷 유형 공격의 사전 작업 차원에서 정보를 수집하는데 쓰이는 악성코드일 가능성이 있다고 분석한 바 있다.

듀큐에는 산업 제어 시스템을 노리는 코드가 포함돼 있지 않지만 스턱스넷과 공통된 요소를 가지고 있다. 예컨대 파일 은닉을 위한 루트킷 등 서로 유사한 은닉 및 암호화 기법들을 듀큐와 스턱스넷의 커널 드라이버들에서 이용하는 경우가 많다.

 

현재까지 보안 업체들은 이란, 수단 등 여러 나라에서 듀큐 감염 사례를 발견해 왔다. 하지만 이 악성코드의 목적이 무엇인지는 아직까지 불분명하다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>